远程攻击Android蓝牙

528 查看

在上周的CanSecWest安全会议上我论述了一种对Android4.3及其以上版本适用的蓝牙协议栈(Bluedroid)的远程攻击。这篇文章简单的描述了这个bug。

如果读者没有耐心的话,可以点这里直接观看攻击视频

这个漏洞存在于Bluedroid的BLE数据包解析代码中。要测试这个漏洞,攻击者需要强制一名用户连接到恶意的BLE(蓝牙智能)设备上。连接时,该恶意设备会发布一个格式错误的GATT通知数据包,从而造成协议栈的崩溃。

这听上去好像有点牵强——攻击者能强制一名用户连接到设备上。但考虑到这样一个事实:很多Android的BLE应用会适时连接到任何广告设备上来确定其是否是与该应用程序相关联的设备。只要有应用是出于攻击的目的连接就可以成功。

但这个漏洞没有可利用性:崩溃是由一个FORTIFY_SOUCE检测错误所造成的。此外,该漏洞已在Android4.4以上的版本中被修复。

问题代码

问题代码可以在stack/gatt/gatt_cl.c中的gett_process_notification(614行)处被找到。这段代码用于解析通知包(BLE设备周期性的发送给BLE机主的消息)。在626行可以看到如下代码:

value.len是unit16_t。p和len都可由攻击者控制,但我们只对len感兴趣。p表示攻击者发送的数据包内容,len则是该数据包的大小。

这段代码输出一个至少2字节大小的数据包。如果攻击者发送了只有一个字节的格式错误的数据包,那么value.len=len-2的计算结果将会下溢到65534。那么memcpy将会试图从p中拷贝将近64000字节的数据。

演示

我为此做了一个演示视频

我用经修改过的BlueZ(linux 蓝牙协议栈)的版本搭建了一个攻击平台,BlueZ在这里作为一个运行GATT服务的BLE设备。当一个BLE机主连接时,它会自动发送一个只有单字节大小的通知数据包。

在视频中,我使用一个BLE心跳监控应用演示了这个漏洞。出于演示的目的,我手动连接该应用至恶意的BlueZ设备。当音乐结束时协议崩溃了。

adb logcat的输出类似于如下显示:

我再次注意到该攻击是不可利用的——原因是FORTIFY_SOURCE的运行检测机制。该代码在编译时已知目标缓冲区的长度。在运行时,该代码会检查memcpy的长度是否大于目标缓冲区,如果是则会调用abort()。

时间表

以下是bug追踪时间表:

  • 2013-09-30:向google披露该漏洞
  • 2013-10-07:承诺解决
  • 2013-10-30:Android 4.4 r0.9 标记该漏洞
  • 2013-10-31:Android 4.4发布版修复

google并没有在Android 4.3上发布修复版,原因是他们希望所有用户都升级到4.4。

更多信息

如果你想要学习更多关于BLE主动攻击和模糊化处理技术,可以观看我的CanSecWest演讲视频。Outsmarting Bluetooth Smart.